BACKGROUND 0 0

في الآونة الأخيرة، اقتناعا عميقا من الفريق الأمني إلى تصور العملاء من التنبيه الأمن المحلي، مما يوحي بأن وصول الخبيثة اتصال CC ناقوس الخطر، وصلت down.mys2018.xyz الوصول نطاق الخبيثة 1057 مرة، وصلت زيارة my2018.zxy 490 مرات المضيف أن تكون وضعت مباشرة تقع، وبعد مرور أكثر مما أسفر عن مقتل برامج مكافحة الفيروسات لم تكن قتل غير طبيعية، والمتابعة بعد أن وجد التحقيق ذات الصلة أن هناك الخادم مخاطر أمنية كبيرة، وعصابات Myking تكون ذات صلة أكبر.

0 1 عموما

ووجد تحليل متعدد الأوجه مزيد من العملاء المحليين مع فيروس خبيث ملفات البرامج النصية على أساس ظاهرة الوضع وفرز وتحليل السجل من خلال دمج تحليل تعريف الكشف عن بعض العمليات الذاكرة وغيرها من الحوادث الأمنية الخبيثة مرارا الغزو.

عملية 0 2 التفتيش

التي وجدت عدد كبير من العمليات عملية wscript.exe الخبيثة حوالي أكثر من 30 مكالمة، كل أعلى سلطة \ \ تنفيذ البرامج النصية المستخدمين \ المستندات \ 1.vbs العام، وعملية الأصل تشغيل عمليات قاعدة بيانات sqlserver.exe محليا: دعوات لأوامر نظام الملفات المعلمة عبر C.

1.vbs المحتوى المفتوح للتحليل رمز وجدت أن هذا السيناريو هو برنامج التعدين الظاهري عن طريق استدعاء التعدين wscript.exe تحميل مكونات الخبيثة المحلية من الإنترنت.

رمز الأساسية هي كما يلي:

الطريق الرابط: HTTP: //q.112adfdae.tk/&wenjian.

powered.exe باسم عملية الرئيسية للتعدين، config.json التشكيل الجانبي للتعدين؛ وكان محللون ثيقة مماثلة هنا ليس الكثير لتفعله قبل العرض التقديمي.

دخول 0 3 التمهيد

عن طريق التحقق من التمهيد للمشروع كما وجدت مشروع مشترك WMI دعا fuckyoumm2_consumerde من:

بداية يلي أساسا تنزيل المحتوى من وحفظها تحت المسار C المحدد: \ ps.exe النوافذ \ والتنفيذ:

داخل البنود التسجيل بدء التشغيل وجدت clean.vbs غير طبيعي للمشروع:

من خلال تحليل محتويات هذا الاكتشاف هو رديس ضد غزو حمولة:

عن طريق التحقق من التسجيل من ملف الخفافيش غريب في العيون، وكان المسار:

C: \ WINDOWS \ SYSTEM32 \ WBEM \ 123.bat

المحتوى الرئيسي من المهام الرئيسية التالية هو أن يعود عن التحميل القاصي وتنفيذ عينة:

0 4 هجوم تتبع مصدر

من خلال دراسة النتائج من قاعدة بيانات سيكلسرفير قد تعرض لهجمات عنيفة من مستخدمي الإنترنت الرئيسي للصدع وxp_shell وظيفة سا هو بالفعل في حالة فتح، لأن السجل يست شاملة غير قادر مؤقتا لتأكيد نقطة محددة في الوقت جرا.

في نفس الوقت في نظام الويب الدليل التالي webshell وجدت في ماليزيا هو متعدد الوظائف الوقت sqzr.jsp تحميل ل6 يونيو 2018.

في الدليل التالي رديس كما وجدت مفتاح القراصنة التي تم تحميلها SSH تسجيل الدخول، يمكن أن يقال هذه العملية، بعد كل شيء، وهذا هو نظام للغاية 6 النوافذ.

عن طريق التحقق من الوضع المحلي من المنافذ المفتوحة وجدت رديس عملية حافظت على مزيد من التواصل، في حين تراجع التكوين وجدت الوصول غير المصرح به فتحها.

0 5 نظيفة

1. إزالة 1.vbs 123.bat clean.vbs والكتابات الخبيثة الأخرى في دليل النظام.

2. إزالة webshell مستتر helloworld.jar helloworld دليل ودليل النظام تحت شبكة الإنترنت.

3. حذف القراصنة الملفات الجذر التي تم تحميلها.

4. fuckyoumm2_consumerde حذف، clean.vbs، 123.bat دخول التمهيد.

0 6 التسليح والتوصيات

1. إضافة صول كلمة السر رديس، يتم توفير مراقبة الدخول في حين أن رديس.

2. Openfire الثغرات الأمنية الإصلاح الترقية إلى أحدث إصدار حزمة أو تحديث التصحيح.

3. إضافة تعزيزات أمنية سيكلسرفير وضع سياسة قوية نهج كلمة المرور والتحكم في الوصول، على مقربة xp_shell أوامر خطيرة لأداء وظائف.

4. منتجات SANGFOR EDR، والجدران النارية من الجيل التالي والمنتجات الأمنية الأخرى لديها قدرات الكشف عن الفيروسات، يمكن للمستخدمين نشر المنتجات ذات الصلة للكشف عن الفيروس. حيث المنتجات EDR، وذلك باستخدام قناعة عميقة SAVE محرك التفتيش الأمنية ذكي، التعرف الآلي من التهديدات غير معروف من قبل المخابرات الاصطناعي للتعلم الذاتي، من دون أي ترقية إلى أحدث البديل من الفيروس قتل كشف مستقل.

* الكاتب: استبصار مختبرات الأمن، وأعيد طبعه من FreeBuf.COM